• Qualità
• Responsabilità sociale
• Ambiente
• Security
• Safety

{Security

BS 7799-2:2002

Sicuri? La sicurezza sta diventando un tema di assoluta priorità perché le comunicazioni e le informazioni sono ormai fattori determinanti dello sviluppo economico e sociale. Le reti e i sistemi di informazione veicolano un volume e una pluralità di servizi e dati ancora inconcepibili fino a pochi anni fa. Uno dei fattori di competitività del sistema Paese è la capacità di utilizzare le informazioni al servizio del business. La criticità delle informazioni deve essere protetta e salvaguardata: ciò significa destinare risorse preziose al presidio delle tecnologie, in particolare a seguirne la rapida e a volte caotica evoluzione, e a seguire il tema della sicurezza di reti e sistemi. La sicurezza è una merce comprata e venduta sul mercato ed è ormai parte integrante delle clausole contrattuali sottoscritte dalle parti. Un intervento pubblico specificatamente mirato a correggere tali imperfezioni migliorerebbe il funzionamento del mercato e consentirebbe una più efficace applicazione del quadro normativo. Le misure strategiche proposte in materia di sicurezza delle reti e dell'informazione vanno considerate nel contesto delle politiche delle telecomunicazioni, della protezione dei dati e della criminalità informatica. Una politica in materia di sicurezza delle reti e dell'informazione costituirà l'anello mancante del quadro di riferimento.
Nel passato la risposta alla trasformazione del panorama dei rischi, quando se ne è sentita l’esigenza, è stata di tipo “puntuale”, strettamente basata su interventi di tipo tecnico; per altro la risposta tecnica e tecnologica è un aspetto importante del miglioramento della security.

Più recentemente, proprio l’esigenza della “gestione” della security, ha portato allo sviluppo di approcci di management e di audit maggiormente strutturati. Con la comparsa delle norme BS 7799 – 1 E 2 (2002), è stato finalmente individuato lo standard di riferimento per la gestione della security delle informazioni. Tale standard è oggi coerente con l’impostazione dei Sistemi di Gestione strutturati sulla base della norma ISO 9001:2000 ed è strutturato in modo da permettere la Certificazione di parte terza. Tale riconoscimento consente, alle organizzazioni che lo ottengono, di dimostrare alle parti interessate, il proprio coinvolgimento e la propria consapevolezza nella gestione dei rischi relativi alla gestione delle informazioni. Talora, si tratta di dati ed informazioni sensibili, relativi alle Società partner, ovvero ai Clienti finali della catena del valore nel quale operano tali organizzazioni.

La sicurezza delle informazioni non è solo un fatto di tecnologia, ma anche e soprattutto un fatto di cultura che deve essere creata, alimentata, migliorata e continuamente riesaminata. L’informazione, sempre più spesso contenuta in documenti elettronici, anziché cartacei, è memorizzata, elaborata e gestita attraverso un sistema informatico, spedita per posta, trasmessa via fax, trasferita via Internet, ed è oggetto di tante altre operazioni che la espongono a minacce e ne alterano la riservatezza, l’integrità e la disponibilità.
Per tutelare la sicurezza delle informazioni è necessario implementare opportune contromisure fisiche, logiche ed organizzative, che vengono scelte attraverso l’Analisi del rischio.

Nel mercato sempre più globale è diventata una necessità comunicare, ma è altrettanto necessario proteggere le informazioni relative al business, con una sorta di “guardiano onnipresente” che deve proteggere gli assets dell’organizzazione da attacchi esterni e da abusi interni. L’organizzazione apre centinaia di porte agli utenti invitando clienti a piazzare ordini, impiegati ad effettuare acquisti on line, ma questo consente a potenziali hackers di sottrarre facilmente ciò che è stato costruito con anni di impegno, di consegnare a concorrenti gli assets dell’organizzazione o peggio di consentire a criminali di utilizzare informazioni riservate per scopi illegali.

La certificazione deve essere eseguita in modo da garantire l’imparzialità, l’oggettività, la ripetibilità e la riproducibilità dell’intero processo di certificazione.
A tal fine l’accreditatore, il certificatore ed il valutatore (qualora sia presente) devono essere terza parte indipendente rispetto al:
• Fornitore/titolare dell’oggetto da certificare
• Fruitore della certificazione
• la certificazione deve basarsi su criteri o standard di riferimento comunemente accettati
• deve essere verificata la competenza di chi applica la norma di riferimento (valutatore/certificatore).

La certificabilità di un’organizzazione è condizionata dal rispetto della normativa cogente.
Operare nel rispetto delle leggi e regolamenti dove la società opera. Rispetto degli obblighi contrattuali e dei requisiti prescritti per assicurare la protezione dei beni propri o di terzi.
ALCUNI ESEMPI:
• Protezione dei dati personali
• Protezione dei documenti aziendali
• Protezione del copyright del software
• Proprietà Intellettuale
• Computer Crime/Atti illeciti
• Insider Trading
• Applicazione di regole sul export di tecnologie informatiche.
• Spionaggio industriale
• Sicurezza imposta da enti governativi

Assicurare un adeguato livello di security è un dovere e senso civico di ogni organizzazione.
• La sicurezza o la mancanza di sicurezza non é più un problema che ha le sue conseguenze e i sui confini all’interno di un organizzazione.
• Le organizzazioni vengono sempre più integrate e parte attiva del contesto sociale globale.
• Prodotti difettosi o non distribuiti, servizi non erogati, divulgazioni di informazioni strategiche, perdita di reputazione per varie ragioni interne possono avere un grande impatto sociale con conseguenze disastrose anche con perdite di vite umane ed economiche.
• Esempio network, sistemi informativi ed INTERNET, ogni organizzazione deve adottare efficaci politiche di security in quanto un danno al proprio sistema informatico può impattare e minacciare la sicurezza di altri.

Più che verificare la validità tecnica degli strumenti e dei meccanismi di sicurezza, l’attività di certificazione è volta a verificare:
• La condivisione delle scelte;
• Il corretto presidio organizzativo e documentale di tutti i fenomeni (con particolare riferimento alla gestione degli incidenti);
• La diffusione della conoscenza e la sensibilizzazione sui temi della sicurezza.

Lo schema di certificazione prevede, dopo una valutazione iniziale, il rilascio di un certificato di conformità alla norma di riferimento valido 3 anni, verifiche periodiche di convalida durante il triennio e verifiche alla sua scadenza ai fini del rinnovo.
Il mercato sta dimostrando di allocare a tale certificazione un forte valore aggiunto, dato che rappresenta la ragionevole confidenza che i problemi ed i rischi relativi alla security sono gestiti in modo adeguato. Anche il management delle organizzazioni certificate o certificande, parimenti, vede nell’applicazione dei principi dello standard, un momento di miglioramento dell’efficacia e dell’efficienza dell’organizzazione in genere.
Per adesso si tratta delle organizzazioni che operano nella filiera di quelle attività, che gestiscono dati sensibili dei Committenti o del Cittadino, magari nella veste di Cliente finale. Quindi, per adesso si tratta maggiormente del settore finanziario, di quello della sanità e dei servizi in genere. C’è una buona probabilità che tale interesse possa espandersi anche in altri settori, non appena migliorerà la consapevolezza verso le tematiche del Risk Management.

Nell’ambito dell’IT, il segmento della sicurezza è sicuramente quello che registra investimenti più vivaci da parte delle imprese. E’ assolutamente necessario superare l’idea e la cultura che la sicurezza rappresenti un “costo” da sostenere e quindi da evitare. Occorre ribaltare questa impostazione riduttiva portando le imprese, i cittadini, le Pubbliche amministrazioni a considerare la sicurezza come un “investimento” in qualità e fiducia per gli utenti: una componente, pertanto, in grado di esaltare i benefici delle tecnologie ICT.
Le aziende dovranno definire politiche imprenditoriali che inquadrino la sicurezza in un contesto generale di difesa dell’azienda, in ogni suo aspetto ed attività. Ciò richiede, com’è evidente, una visione ampia nella strategia di impresa, ma anche la capacità di destinare alla sicurezza investimenti sicuramente più significativi di quelli attuali. Perché la sicurezza rimane un asset imprescindibile. E su questa consapevolezza occorre stabilire un “comune sentire ed operare” per lo sviluppo dell’ICT.

Come possiamo sintetizzare i ritorni dell’adozione dello standard BS 7799 in azienda?
• La nuova situazione non ha, di fatto ed in maniera diretta, incrementato il livello di sicurezza aziendale nei suoi aspetti tecnologici/ operativi.
• Al contrario, essa ha dato un volto nuovo alla sicurezza; un volto formalmente riconosciuto e, soprattutto, condiviso da tutte le funzioni attraverso le nuove strutture organizzative, le nuove attività ed il nuovo livello di sensibilità diffuso a tutta l’azienda Questa impostazione ha consentito di coinvolgere, in modo importante, l’Alta Direzione Inoltre sono stati creati validi presupposti utilizzabili per altri importanti contesti (es. Basilea 2, Nuovo Testo Unico sulla Privacy).